Administración del registro de clústeres con Azure

  • Artículo
  • Tiempo de lectura: 8 minutos

Se aplica a: Azure Stack HCI versiones 21H2 y 20H2

Después de crear un clúster de Azure Stack HCI, debe registrar Windows Admin Center con Azure y, a continuación, registrar el clúster con Azure. Después de registrar el clúster, la información se sincroniza periódicamente entre el clúster local y la nube.

En este artículo se explica cómo ver el estado del registro, otorgar permisos de Azure Active Directory (Azure AD) y anular el registro del clúster cuando esté listo para su retirada.

Visualización del estado del registro en Windows Admin Center

Al conectarse a un clúster mediante Windows Admin Center aparecerá el panel, que muestra el estado de la conexión de Azure. Conectado significa que el clúster ya está registrado con Azure y se ha sincronizado correctamente con la nube en el último día.

Captura de pantalla que muestra el estado de conexión del clúster en el panel de Windows Admin Center.

Para más información, seleccione Settings (Configuración) en la parte inferior del menú Tools (Herramientas) de la izquierda y, a continuación, seleccione Azure Stack HCI registration (Registro de Azure Stack HCI).

Captura de pantalla que muestra las selecciones para obtener la información de registro de Azure Stack H C I.

Visualización del estado del registro en PowerShell

Para ver el estado del registro mediante Windows PowerShell, use el cmdlet de PowerShell Get-AzureStackHCI y las propiedades ClusterStatus, RegistrationStatus y ConnectionStatus.

Por ejemplo, después de instalar el sistema operativo Azure Stack HCI, pero antes de crear o unirse a un clúster, la propiedad ClusterStatus muestra el estado NotYet:

Captura de pantalla que muestra el estado del registro en Azure antes de la creación del clúster.

Después de crear el clúster, solo RegistrationStatus muestra el estado NotYet:

Captura de pantalla que muestra el estado del registro en Azure después de la creación del clúster.

Debe registrar el clúster de Azure Stack HCI en un plazo de 30 días a partir de la instalación, tal como se define en los Términos de los Servicios en Línea. Si no se ha creado un clúster o se ha unido a uno después de 30 días, ClusterStatus mostrará OutOfPolicy. Si no se ha registrado el clúster después de 30 días, RegistrationStatus mostrará OutOfPolicy.

Una vez registrado el clúster, puede ver el campo ConnectionStatus y la hora en el campo LastConnected. La hora que aparece en el campo LastConnected normalmente es del último día, a menos que el clúster se desconecte temporalmente de Internet. Un clúster de Azure Stack HCl puede funcionar completamente sin conexión durante un máximo de 30 días consecutivos.

Captura de pantalla que muestra el estado del registro en Azure después del registro.

Si supera el período máximo de funcionamiento sin conexión, ConnectionStatus mostrará OutOfPolicy.

Asignación de permisos de aplicación de Azure AD

Además de crear un recurso de Azure en la suscripción, el registro de Azure Stack HCI crea una identidad de aplicación en el inquilino de Azure AD. Esta identidad es conceptualmente similar a un usuario. La identidad de la aplicación hereda el nombre del clúster. Esta identidad actúa en nombre del servicio en la nube de Azure Stack HCI, según corresponda, en la suscripción.

Si el usuario que registra el clúster es un administrador de Azure AD o tiene permisos suficientes, todo esto sucede automáticamente. No es necesario realizar ninguna acción adicional. De lo contrario, puede que necesite la aprobación del administrador de Azure AD para completar el registro. El administrador puede conceder consentimiento explícitamente a la aplicación o puede delegar permisos para que pueda conceder consentimiento a la aplicación:

Diagrama que muestra la identidad y los permisos de Azure Active Directory.

Para dar su consentimiento, abra portal.azure.com e inicie sesión con una cuenta de Azure que tenga permisos suficientes en Azure AD. Seleccione Azure Active DirectoryRegistros de aplicaciones. Seleccione la identidad de aplicación que tiene el nombre del clúster y vaya a API permissions (Permisos de API).

Para la versión de disponibilidad general (GA) de Azure Stack HCI, la aplicación requiere los siguientes permisos.

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

Solicitar la aprobación del administrador de Azure AD podría llevar cierto tiempo, por lo que el cmdlet Register-AzStackHCI saldrá y dejará el registro en el estado pending admin consent (completado parcialmente). Una vez concedido el consentimiento, vuelva a ejecutar Register-AzStackHCI para completar el registro.

Asignación de permisos de usuario de Azure AD

El usuario que ejecuta Register-AzStackHCI necesita permisos de Azure AD para:

  • Crear (New-Remove-AzureADApplication), obtener (Get-Remove-AzureADApplication), establecer (Set-Remove-AzureADApplication) o quitar (Remove-AzureADApplication) aplicaciones de Azure AD.
  • Crear (New-Get-AzureADServicePrincipal) u obtener (Get-AzureADServicePrincipal) la entidad de servicio de Azure AD.
  • Administrar secretos de la aplicación de Active Directory (New-Remove-AzureADApplicationKeyCredential, Get-Remove-AzureADApplicationKeyCredential o Remove-AzureADApplicationKeyCredential).
  • Conceder consentimiento para usar permisos de aplicación específicos (New-AzureADApplicationKeyCredential, Get-AzureADApplicationKeyCredential o Remove-AzureADServiceAppRoleAssignments).

Hay tres maneras de asignar estos permisos.

Opción 1: Permitir a cualquier usuario registrar aplicaciones

En Azure Active Directory, vaya a Configuración de usuarioRegistros de aplicaciones. En Los usuarios pueden registrar aplicaciones, seleccione .

Esta opción permite registrar aplicaciones a todos los usuarios. Sin embargo, el usuario seguirá necesitando que el administrador de Azure AD conceda su consentimiento durante el registro del clúster.

Nota

Esta opción es una configuración de nivel de inquilino, por lo que es posible que no sea adecuada para clientes empresariales de gran tamaño.

Opción 2: Asignar el rol Administrador de aplicaciones en la nube

Asigne el rol integrado Administrador de aplicaciones en la nube de Azure AD al usuario. Esta asignación permitirá al usuario registrar clústeres o anular el registro de estos sin necesidad de consentimiento adicional del administrador de Active Directory.

La opción más restrictiva es crear un rol de Active Directory personalizado con una directiva de consentimiento personalizada que delegue el consentimiento del administrador de todo el inquilino de los permisos necesarios en el servicio Azure Stack HCI. Cuando se asigna este rol personalizado a los usuarios, estos pueden registrar y conceder su consentimiento sin necesidad de consentimiento adicional del administrador de Active Directory.

Nota

Esta opción requiere una licencia de Azure AD Premium. Usa roles de Active Directory personalizados y características de directivas de consentimiento personalizadas.

  1. Conéctese a Azure AD:

    Connect-AzureAD

  2. Cree una directiva de consentimiento personalizada:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"

  3. Agregue una condición que incluya los permisos de aplicación necesarios para el servicio Azure Stack HCI, que tiene el identificador de aplicación 1322e676-dee7-41ee-a874-ac923822781c.

    Nota

    Los permisos siguientes son para la versión de disponibilidad general de Azure Stack HCI.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"

  4. Conceda permisos para permitir el registro de Azure Stack HCI teniendo en cuenta la directiva de consentimiento personalizada que ha creado en el paso 2:

    $displayName = "Azure Stack HCI Registration Administrator "
$description = "Custom AD role to allow registering Azure Stack HCI "
$templateId = (New-Guid).Guid
$allowedResourceAction =
@(
       "microsoft.directory/applications/createAsOwner",
       "microsoft.directory/applications/delete",
       "microsoft.directory/applications/standard/read",
       "microsoft.directory/applications/credentials/update",
       "microsoft.directory/applications/permissions/update",
       "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
       "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
       "microsoft.directory/servicePrincipals/appRoleAssignments/read",
       "microsoft.directory/servicePrincipals/createAsOwner",
       "microsoft.directory/servicePrincipals/credentials/update",
       "microsoft.directory/servicePrincipals/permissions/update",
       "microsoft.directory/servicePrincipals/standard/read",
       "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

  5. Cree el nuevo rol de Active Directory personalizado:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

  6. Siga estas instrucciones para asignar el nuevo rol personalizado de Active Directory al usuario que va a registrar el clúster de Azure Stack HCI en Azure.

Anulación del registro de Azure Stack HCI mediante Windows Admin Center

Cuando esté listo para retirar el clúster de Azure Stack HCI, conéctese al clúster mediante Windows Admin Center. Seleccione Settings (Configuración) en la parte inferior del menú Tools (Herramientas) de la izquierda. A continuación, seleccione Azure Stack HCI registration (Registro de Azure Stack HCI) y seleccione el botón Unregister (Anular registro).

El proceso de anulación del registro limpia automáticamente el recurso de Azure que representa el clúster, el grupo de recursos de Azure (si el grupo se creó durante el registro y no contiene ningún otro recurso) y la identidad de la aplicación de Azure AD. Esta limpieza detiene toda la funcionalidad de supervisión, soporte técnico y facturación mediante Azure Arc.

Nota

La anulación del registro de un clúster de Azure Stack HCI requiere un administrador de Azure AD u otro usuario que tenga permisos suficientes.

Si la puerta de enlace de Windows Admin Center está registrada en un identificador de Azure Active Directory (inquilino) diferente del que se usó para registrar inicialmente el clúster, es posible que se produzcan problemas al intentar anular el registro del clúster mediante Windows Admin Center. Si esto ocurre, utilice las siguientes instrucciones de PowerShell.

Anulación del registro de Azure Stack HCI mediante PowerShell

También puede usar el cmdlet Unregister-AzStackHCI para anular el registro de un clúster de Azure Stack HCI. Puede ejecutar el cmdlet en un nodo de clúster o en un equipo de administración.

Puede que tenga que instalar la última versión del módulo Az.StackHCI. Si se le solicita Are you sure you want to install the modules from 'PSGallery'?, responda Sí (Y).

Install-Module -Name Az.StackHCI

Anulación del registro desde un nodo de clúster

Si ejecuta el cmdlet Unregister-AzStackHCI en un servidor del clúster, use la siguiente sintaxis. Especifique el identificador de la suscripción de Azure y el nombre del recurso del clúster de Azure Stack HCI cuyo registro desea anular.

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Se le solicitará ir a microsoft.com/devicelogin en otro dispositivo (por ejemplo, un PC o un teléfono). Escriba el código e inicie sesión en él para autenticarse con Azure.

Anulación del registro desde un equipo de administración

Si ejecuta el cmdlet desde un equipo de administración, también deberá especificar el nombre de un servidor del clúster:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Aparece una ventana interactiva de inicio de sesión de Azure. Los mensajes exactos que verá variarán en función de la configuración de seguridad (por ejemplo, la autenticación en dos fases). Siga las indicaciones para iniciar sesión.

Limpieza posterior de un clúster cuya anulación del registro no se efectuó correctamente

Si un usuario destruye un clúster de Azure Stack HCI sin anular su registro, por ejemplo, mediante la creación de una nueva imagen de los servidores host o la eliminación de los nodos del clúster virtual, los artefactos permanecerán en Azure. Estos artefactos no son perjudiciales y no afectan a la facturación ni usan recursos, pero pueden acumularse en Azure Portal. Para limpiarlos, puede eliminarlos manualmente.

Para eliminar el recurso de Azure Stack HCI, vaya a su página en Azure Portal y seleccione Eliminar en la barra de acciones de la parte superior. Escriba el nombre del recurso para confirmar la eliminación y luego seleccione Eliminar.

Para eliminar la identidad de la aplicación de Azure AD, vaya a Azure ADRegistros de aplicacionesTodas las aplicaciones. Seleccione Eliminar y confirme.

También puede eliminar el recurso de Azure Stack HCI mediante PowerShell:

Remove-AzResource -ResourceId "HCI001"

Puede que sea necesario instalar el módulo Az.Resources:

Install-Module -Name Az.Resources

Si el grupo de recursos se creó durante el registro y no contiene otros recursos, puede eliminarlo también:

Remove-AzResourceGroup -Name "HCI001-rg"

Pasos siguientes

Para obtener información relacionada, consulte: